1. Portscanner en ligne
  2. Dernières nouvelles et articles sur la cybersécurité
  3. De la cybercriminalité Saul Goodman au GRU russe

De la cybercriminalité Saul Goodman au GRU russe

En 2021, le forum exclusif russe sur la cybercriminalité Mazafaka a été piraté. La base de données d'utilisateurs divulguée montre que l'un des fondateurs du forum était un avocat qui conseillait les principaux pirates informatiques russes sur les risques juridiques de leur travail et sur ce qu'il fallait faire s'ils se faisaient prendre. Un examen des identités de hacker de cet utilisateur montre que pendant son temps sur les forums, il a servi comme officier dans les forces spéciales du BRU, l'agence de renseignement militaire étrangère de la Fédération de Russie.

Lancé en 2001 sous le slogan “Terrorisme en réseau”, Mazafaka allait devenir l'une des communautés de cybercriminalité en langue russe les plus surveillées. La liste des membres du forum comprend un Qui est Qui des meilleurs cybercriminels russes, et il comportait des sous-forums pour un large éventail de spécialités de la cybercriminalité, y compris les logiciels malveillants, le spam, le codage et le vol d'identité.

Une représentation de la base de données Mazafaka divulguée.

Dans presque toutes les fuites de bases de données, les premiers comptes répertoriés sont généralement les administrateurs et les premiers membres principaux. Mais les informations de l'utilisateur Mazafaka mises en ligne n'était pas un fichier de base de données en soi, et il a été clairement édité, expurgé et restructuré par celui qui l'a publié. Par conséquent, il peut être difficile de dire quels membres sont les premiers utilisateurs.

Le Mazafaka original est connu pour avoir été lancé par un pirate informatique utilisant le surnom “Traqueur."Cependant, l'ID utilisateur numéroté le plus bas (non administrateur) dans la base de données Mazafaka appartient à une autre personne qui a utilisé le handle “Amix, "et l'adresse e-mail djamix à mazafaka[.] ru.

Depuis la création du forum jusqu'en 2008 environ, Djamix a été l'un de ses contributeurs les plus actifs et les plus éloquents. Djamix a déclaré aux membres du forum qu'il était avocat, et presque tous ses messages comprenaient des analyses juridiques de diverses affaires publiques impliquant des pirates informatiques arrêtés et accusés de cybercriminalité en Russie et à l'étranger.

” Se cacher avec des paramètres purement techniques n'aidera pas dans une affaire sérieuse", a conseillé Djamix aux membres de Maza en septembre 2007. “Pour ÉCHAPPER à la loi, il faut CONNAÎTRE la loi. C'est la chose la plus importante. Les capacités techniques ne peuvent vaincre l'intelligence et la ruse.”

Stalker lui-même a crédité Djamix d'avoir gardé Mazafaka en ligne pendant tant d'années. Dans un billet rétrospectif publié sur Journal en Direct en 2014, intitulé “Mazafaka, de la conception à nos jours”, Stalker a déclaré que Djamix était devenu un membre essentiel de la communauté.

” Ce gars est partout", a déclaré Stalker à propos de Djamix. “Il n'y a rien sur [Mazafaka] auquel il ne participe pas. Pour moi, il est un irritant stimulant et grâce à lui, Maza est toujours en vie. Notre force de ralliement!”

Djamix a déclaré à d'autres habitants du forum qu'il était un avocat agréé qui pouvait être embauché pour des consultations à distance ou en personne, et ses publications sur Mazafaka et d'autres forums russes montrent que plusieurs pirates informatiques confrontés à des risques juridiques l'ont probablement accepté sur cette offre.

” J'ai le droit de représenter vos intérêts devant les tribunaux", a déclaré Djamix sur le forum de cybercriminalité en langue russe Vérifié en janvier. 2011. "À distance (sous la forme d'un soutien constant et de consultations), ou en personne – cela est discuté séparément. Ainsi que le coût de mes services.”

QUI EST DJAMIX?

Une recherche sur djamix @ mazafaka[.] ru à DomainTools.com révèle que cette adresse a été utilisée pour enregistrer au moins 10 noms de domaine depuis 2008. Ceux-ci incluent plusieurs sites Web sur la vie dans et autour Sotchi, Russie, le site des Jeux Olympiques d'hiver de 2014, ainsi qu'une ville côtière voisine appelée Adler. Tous ces sites disent qu'ils ont été enregistrés auprès d'un Alexeï Safronov de Sotchi qui répertorie également Adler comme ville natale.

Le service de suivi des violations Intelligence de Constelle constate que le numéro de téléphone associé à ces domaines — +7.9676442212 — est lié à un compte Facebook pour un Alexeï Valerievitch Safronov de Sotchi. Le profil Facebook de M. Safronov, qui a été mis à jour pour la dernière fois en octobre 2022, indique que son numéro de messagerie instantanée ICQ est 53765. Il s'agit du même numéro ICQ attribué à Djamix dans la base de données des utilisateurs de Mazafaka.

Le compte Facebook d'Alexeï Safronov.

Un compte "Djamix" sur le forum privetsochi[.] ru (”Bonjour Sotchi") dit que cet utilisateur est né en octobre . 2, 1970, et que son site Web est afficher[.] ru. Le slogan de ce site d'information en langue russe est “Nous créons la communication " et il se concentre fortement sur les nouvelles de Sotchi, d'Adler, de la Russie et de la guerre en Ukraine, avec un fort penchant pro-Kremlin.

Le profil Facebook de Safronov indique également son nom d'utilisateur Skype comme “Djamixadler”, et il comprend des dizaines de photos de lui vêtu d'un treillis militaire avec un régiment de soldats déployés dans des régions assez reculées de Russie. Certaines de ces photos datent de 2008.

Sur plusieurs des images, on peut voir un patch sur le bras de la veste de Safronov qui porte le logo du Groupe de Spetsnaz, une unité des forces spéciales de l'armée russe. Selon un rapport 2020 depuis le Service de Recherche du Congrès, le GRU fonctionne à la fois comme une agence de renseignement — collectant des renseignements humains, cybernétiques et électromagnétiques — et comme une organisation militaire responsable de la reconnaissance du champ de bataille et du fonctionnement des unités de commandos militaires russes Spetsnaz.

M. Safronov a publié cette image de lui-même sur Facebook en 2016. L'insigne du GRU est visible sur sa manche.

“Ces dernières années, des rapports ont lié le GRU à certaines des opérations de renseignement les plus agressives et publiques de Russie”, explique le rapport CRS. "Le GRU aurait joué un rôle clé dans l'occupation par la Russie de la région ukrainienne de Crimée et l'invasion de l'est de l'Ukraine, la tentative d'assassinat de l'ancien officier du renseignement russe Sergei Skripal au Royaume-Uni, l'ingérence dans les élections présidentielles américaines de 2016, les opérations de désinformation et de propagande, et certaines des cyberattaques les plus dommageables au monde.”

Selon le média d'investigation axé sur la Russie Méduse, en 2014, le ministère russe de la Défense a créé ses “troupes d'opération d'information” pour agir dans les “cyber-confrontations avec des adversaires potentiels.”

"Plus tard, des sources au ministère de la Défense ont expliqué que ces nouvelles troupes étaient destinées à "perturber les réseaux d'information de l'adversaire potentiel", " Meduza rapporté en 2018. "Les recruteurs seraient allés à la recherche de" pirates informatiques qui ont eu des problèmes avec la loi.'”

M. Safronov n'a pas répondu aux multiples demandes de commentaires. A traité 2018 écrit par Aleksei Valerievich Safronov intitulé " Cent ans de renseignement militaire du GRU” explique la signification de la chauve-souris dans le sceau du GRU.

“D'une manière ou d'une autre, la chauve-souris est un emblème qui unit tous les officiers du renseignement actifs et retraités; c'est un symbole d'unité et d'exclusivité”, a écrit Safronov. "Et, en général, peu importe de qui nous parlons – un agent secret du GRU quelque part dans l'armée ou un tireur d'élite dans l'une des brigades des forces spéciales. Ils ont tous fait et font une chose très importante et responsable.”

On ne sait pas quel rôle M. Safronov joue ou a joué dans le GRU, mais il semble probable que l'agence de renseignement militaire aurait exploité ses compétences techniques considérables, ses connaissances et ses relations sur les forums russes sur la cybercriminalité.

Recherche sur le domaine de Safronov uposter[.] ru dans Constella Intelligence révèle que ce domaine a été utilisé en 2022 pour enregistrer un compte sur un forum de discussion populaire en espagnol dédié à aider les candidats à se préparer à une carrière dans le Garde Civile, l'une des deux polices nationales espagnoles. En pivotant sur cette adresse IP russe dans Constella, trois autres comptes ont été créés sur le même forum d'utilisateurs espagnol vers la même date.

Marque Rasch, un ancien procureur de la cybercriminalité pour le Département de la Justice des États-Unis, a déclaré qu'il y avait toujours eu une relation étroite entre le GRU et la communauté des pirates informatiques russes. Rasch a noté qu'au début des années 2000, le GRU sollicitait des pirates informatiques possédant les compétences nécessaires pour pirater des banques américaines afin de se procurer des fonds pour aider à financer la guerre de la Russie en Tchétchénie.

” Le gars est fortement connecté à la cyber-communauté russe, et c'est utile pour les services de renseignement", a déclaré Rasch. "Il aurait pu infiltrer la communauté pour la surveiller pour le GRU. Ou il pourrait juste être un gars portant un uniforme militaire.”



>>Plus